האם פרצה בדפדפן הכרום של גוגל הופכת אותו ל"מכשיר האזנה"? כך לפחות טוען המפתח הישראלי טל אטר, שדיווח אתמול (ד') בבלוג שלו על איתור פרצות בכרום המאפשרות שימוש במיקרופון לשם ציתות פעיל.
הדבר מתבצע לאחר שהמשתמש אישר לאתר או לאפליקציה שימוש בנתוני המיקרופון לשם ביצוע פעולות שליטה קולית. אלא שהמשתמש יכול לטעות ולחשוב שספק שירות מסוים הוא הגון ולגיטימי, ולמעשה ינצל נקודות תורפה בדפדפן כדי לצותת לו. בכרום, לשוניות (טאבים) אמנם יראו שנעשה שימוש במיקרופון, אך חלונות קטנים לא יתריעו על כך. יתרה מכך, האזנה יכולה להתבצע גם לאחר שהמשתמש סגר את האתר הפוגעני.
אטר אף פרסם סרטון וידאו המדגים את התהליך:
"הבעייה היא, שברגע שנתת לאתר אישור להשתמש במיקרופון שלך, בעצם נתת לו אישור גורף מהיום והלאה להפעיל את המקרופון שלך מתי שהוא רוצה", אמר אטר לוואלה! טק, "אתר שרוצה לנצל את זה, יכול לקבל אישור למטרה לגיטימית, ואז לפתוח חלון מוסתר, שלא שמת לב אליו, ולהמשיך להאזין לך ללא שתדע, וללא בקשת רשות נוספת".
לטענת אטר, שפיתח שירות לשליטה באתרים באמצעות פקודות קוליות, הוא פנה לגוגל בעניין הבאגים לפני ארבעה חודשים, אולם ראה שהתקלות שהתריע עליהן לא תוקנו אף שגוגל הודתה בקיומן והצהירה שתתקן אותן.
בהודעה שפרסמה גוגל נראה שהחברה לא התרשמה מהנתונים שהובאו בפניה, והפרצה לא נסתמה: "ביטחון המשתמשים הוא בראש סדר העדיפויות שלנו, והתכונה (של זיהוי דיבור) נבנתה עם מחשבה על אבטחה ופרטיות. על משתמש לאפשר קודם זיהוי קולי לאתר המבקש זאת. תכונה זו עומדת בתקני ה- W3C הקיימים, ואנחנו נמשיך לעבוד על שיפורים".
"ה'תקן' של ה-W3C רחוק מלהיות תקן", מגיב אטר על ההודעה של גוגל, "הוא עדיין לא הגיע לשלב ההמלצה אפילו. הטיוטה שעליה מדובר נכנסה החודש לתהליך שבסופו (לקראת סוף 2014,) היא תהפוך להמלצה. רק אחר כך ייקבע לו"ז להפוך אותו לתקן. השינויים שהוצעו לתקן בעקבות הבאג שגיליתי הם מבורכים ונכונים לטעמי, אבל הבעיה היא שהם התייחסו לכל אחד מהבאגים השונים שמצאתי בפני עצמו, ולא על הפירצה שנפערה על ידי ניצול כל הבאגים ביחד".